내년 5월부터 유럽에서 활동하는 기업에 적용되는 ‘유럽 일반 개인정보보호법(GDPR)‘이 유럽 진출을 꾀하는 국내 기업들에게 만만치 않은 장벽이 될 것으로 보인다.

GDPR로 인해 유럽연합(EU)이 제시하는 개인정보 처리 6대 원칙을 반드시 지켜야하며 서비스를 개발할 때부터 프라이버시를 고려해야 한다는 지적이다.

한국인터넷진흥원(KISA)은 11일 서울 프레지던트 호텔에서 ‘우리 기업을 위한 유럽 일반 개인정보보호법(GDPR) 1차 가이드라인’을낸 발표했다.

GDPR은 유럽 시민들의 개인정보 보호를 강화하기 위해 제정한 통합 규정으로 2018년 5월 25일부터 모든 EU 회원국들을 대상으로 시행된다. EU 회원국 기관, 기업들 뿐 아니라 EU에 지사, 법인을 두고 활용하는 기업과 EU 회원국을 대상으로 서비스를 제공하는 기업들도 적용 대상이다.

가이드라인 제작에 참여한 이진규 네이버 이사는 “일반적으로 원칙이라고 하면 선언적으로 생각할 수 있다. 그런데 GDPR의 개인정보 관리 6대 원칙은 그렇지 않다”며 “문제가 발생하면 그 원칙들을 준수했는지 여부에 따라 처벌 수위가 결정된다. 반드시 준수해야 한다”고 지적했다.

개인정보 관리 6대 원칙은 ‘목적 제한의 원칙’, ‘개인정보 최소화의 원칙’, ‘보관기간 제한의 원칙’, ‘무결성, 기밀성의 원칙’, ‘정확성의 원칙’, ‘적법성, 공정성, 투명성의 원칙’이다. GDPR 위반으로 공경에 처하지 않기 위해서는 이들 원칙에 기반해 개인정보를 보호해야한다는 것이다.

가이드라인에 따르면 EU는 GDRP을 심각하게 위반한 경우 직전 회계연도를 기준으로 전 세계 매출의 4% 또는 2000만 유로(약 257억 원) 가운데 큰 금액의 벌금을 부과한다. 일반적인 위반의 경우에도 직전 회계연도를 기분으로 전 세계 매출의 2% 또는 1000만 유로(약 128억 원) 중 큰 금액을 부과할 수 있다.

KISA에 따르면 EU의 GDPR은 한국의 개인정보보호법과 다른 부분들이 있어 기업들의 주의가 요구된다. GDPR은 일반적인 개인정보 뿐 아니라 IP 주소, 쿠키정보, RFID 등도 개인정보로 포함시켰다. 유전정보, 바이오전보 등 민감한 성격의 개인정보는 ‘특별한 유형의 개인정보’로 분류했다.

또 GDPR은 어플리케이션, 제품, 서비스의 개발과 기본 설정에 있어서 데이터 보호와 프라이버시 친화적인 설계를 요구하고 있다. 개인정보 처리와 관련 있는 제품, 서비스, 어플리케이션은 개발 과정에서 개인정보보호를 고려해야 하며 특히 최신 기술을 적용할 수 있도록 해야 한다. 가이드라인 제작에 참여한 윤수영 이베이코리아 팀장은 “GDPR은 프라이버시 기반 디자인뿐 아니라 프라이버시 기반 디폴트(기본 설정)이라는 항목을 따로 갖고 있다”며 “서비스, 제품 기본 설정 시 개인정보 보호를 반영하라는 것이다. 가령 위치기반 서비스가 있을 때 기본적으로 위치를 파악하도록 해서는 안 되며 동의를 받도록 해야 한다”고 강조했다.

EU는 어플리케이션들 중 9개 주요 영역을 면밀히 볼 것으로 전망된다. 9개 주요 영역은 대중교통 시스템에서 CCTV, RFID와 센서 기술, 카지노 및 게임시설에서 사용되는 생체인식, IP 지리적 위치 데이터 재설계, 스마트미터와 스마트그리드, 원격가정 건강관리, 모바일 장치와 통신, 대용량 데이터 및 데이터 분석, 근거리 통신이다.

이와 함께 GDPR은 고위험 초래 가능성이 있는 경우 개인정보영향평가(DPIA)를 받도록 하고 있으며 대규모의 정기적이고 체계적인 개인정보 모니터링을 요구하는 경우와 대규모 민감 정보 또는 범죄경력 정보를 처리하는 경우 데이터보호책임자(DPO)를 지정하도록 했다. KISA와 전문가들에 따르면 DPO는 한국의 개인정보보호책임자와는 역할이 일부 상이하다. 황인표 KISA 수석연구원은 “CPO를 DPO로 겸직하려고 하는 기업들이 있는데 역할이나 요구사항이 다른 측면이 있다”며 “GDPR은 독립성을 요구하는데 외부 전문가를 선임하는 것도 고려해 볼 수 있을 것”이라고 말했다.

전문가들은 아직 구체화되지 않은 GDPR 내용이 있지만 한국 기업들이 미리 준비해야 한다고 지적했다. 김경하 제이앤시큐리티 대표는 “모호한 부분이 있다고 해서 명확한 내용이 나올 때까지 기다린다면 늦을 수 있다”며 “가능한 것에 맞춰서 미리 준비를 해야 한다”고 말했다.

이날 공개된 가이드라인에는 GDPR 인식 제고 및 준비, 기업 책임성 강화, 정보주체 권리 강화 등에 대한 내용이 수록됐다. 가이드라인은 개인정보보호 종합지원 포털(www.privacy.go.kr) 등에서 제공된다. KISA는 내년 봄 구체화되는 내용을 업데이트 해 2차 가이드라인을 발표할 예정이다.

[테크M = 강진규 기자(viper@techm.kr)]